其他分享
首页 > 其他分享> > 渗透测试视频课程

渗透测试视频课程

作者:互联网

注:视频课程【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili

靶场:墨者学院

day2数据包的扩展

主要介绍了一些消息头的各个部分是什么意思

例如:referer:来源

cookie:缓存

user-Agent:客户端设备信息

等,这里主要记录一下课后做的实验,通过burp suite抓包改包,修改自己的浏览器信息伪造成微信端访问,添加X-Forwarded-for,然后再通过burp suite修改X-Forwarded-for的ip伪造不同ip投票。这里的X-Forwarded-for参数主要是显示消息经过了几次代理,IP来源的。

打开网站看到要求将a2019投到第一:

 

 在点击投票的时候显示请用微信打开:

 

 明显需要伪造user-Agent,所以我们开启burp suite(这里我使用的火狐,然后发现127.0.0.1:8080连不上,查阅资料后才知道火狐会自动跳过本地127.0.0.1:8080和loadhost两个永不使用代理,后来改成了127.0.0.1:8081就可以顺利使用了)

 

 将红线圈起来的地方改为在网上找到的微信来源的信息

 

 发包,可以看到投票成功:

 

 然后再次按照相同方法操作一遍发现显示同一个IP不能投多次

 

 这个时候使用burp suite的批量提交请求功能,添加:X-Forwarded-for参数,将IP设为变量,然后进行攻击

 

 将IP后两位设置为变量,然后自己设置上下边界遍历

 

 

 

 

 

 两个变量设置方法一样,然后开始攻击:

 

 

 

 

 

 

 完成实验

 

标签:视频,127.0,Forwarded,渗透,IP,0.1,课程,burp,suite
来源: https://www.cnblogs.com/everythingispossible/p/15570510.html